Forwarded from Brodetskyi. Tech, VC, Startups
Как некомпетентные разработчики приложений открывают доступ к вашим данным
Исследователи компании CheckPoint проанализировали популярные Android-приложения и нашли популярные ошибки в конфигурации сторонних сервисов, из-за которых пострадала безопасность пользовательских данных: это незапароленные базы данных, сторонние сервисы для рассылки пуш-уведомлений и облачные хранилища, ключи от которых хранятся в самом приложении или плохо зашифрованы.
While investigating the content on the publicly available database, we were able to recover a lot of sensitive information including email addresses, passwords, private chats, device location, user identifiers, and more. If a malicious actor gains access these data it could potentially result in service-swipes (ie. trying to use the same username-password combination on other services), fraud, and identity theft.
Среди дырявых приложений: астрологический прогноз с незапароленной базой данных (10 млн скачиваний), приложение такси с данными пользователей в открытом доступе (50 тысяч скачиваний), скрин рекордер с незащищенным облачным хранилищем (10 миллионов скачиваний), приложение для отправки факсов с открытым доступом к облаку с документами пользователей (500 тысяч скачиваний).
Всего 23 приложения поставили под угрозу данные более 100 миллионов пользователей. Просто из-за криворукости разработчиков.
Исследователи компании CheckPoint проанализировали популярные Android-приложения и нашли популярные ошибки в конфигурации сторонних сервисов, из-за которых пострадала безопасность пользовательских данных: это незапароленные базы данных, сторонние сервисы для рассылки пуш-уведомлений и облачные хранилища, ключи от которых хранятся в самом приложении или плохо зашифрованы.
While investigating the content on the publicly available database, we were able to recover a lot of sensitive information including email addresses, passwords, private chats, device location, user identifiers, and more. If a malicious actor gains access these data it could potentially result in service-swipes (ie. trying to use the same username-password combination on other services), fraud, and identity theft.
Среди дырявых приложений: астрологический прогноз с незапароленной базой данных (10 млн скачиваний), приложение такси с данными пользователей в открытом доступе (50 тысяч скачиваний), скрин рекордер с незащищенным облачным хранилищем (10 миллионов скачиваний), приложение для отправки факсов с открытым доступом к облаку с документами пользователей (500 тысяч скачиваний).
Всего 23 приложения поставили под угрозу данные более 100 миллионов пользователей. Просто из-за криворукости разработчиков.
Check Point Research
Mobile app developers’ misconfiguration of third party services leave personal data of over 100 million exposed - Check Point Research
Research by: Aviran Hazum, Aviad Danin, Bogdan Melnykov, Dana Tsymberg and Israel Wernik, Intro Modern cloud-based solutions have become a standard in the mobile application development world. Services such as cloud-based storage, real-time databases, notification…
Forwarded from Журнал «Код»
🧐 Что случилось: придумали новое ПО для фишинга — LogoKit. Он меняет текст и логотипы на фишинговой странице в реальном времени для быстрой адаптации к запросам жертв. Кроме того, он автоматически подтягивает электронную почту жертвы в поле адреса электронной почты или логина, чтобы жертва подумала, что уже заходила на этот сайт раньше. LogoKit представляет собой набор файлов JavaScript, он очень мал, может спокойно распространяться на общедоступных сервисах и не требует сложных настроек сервера.
Звучит как реклама, но на самом деле это страшный вредоносный софт, из-за которого сотни тысяч человек могут стать жертвами мошенников.
За последний месяц этой штукой оказалось заражено более 700 сайтов, среди них страницы входа Adobe Document Cloud, OneDrive, Office 365 и несколько криптовалютных обменников.
Почитать и посмотреть образцы фиш-ссылок: https://community.riskiq.com/article/a068810a
Звучит как реклама, но на самом деле это страшный вредоносный софт, из-за которого сотни тысяч человек могут стать жертвами мошенников.
За последний месяц этой штукой оказалось заражено более 700 сайтов, среди них страницы входа Adobe Document Cloud, OneDrive, Office 365 и несколько криптовалютных обменников.
Почитать и посмотреть образцы фиш-ссылок: https://community.riskiq.com/article/a068810a
Forwarded from Журнал «Код»
🤔 Что случилось: у администраторов сообществ появился фильтр для борьбы с агрессивными пользователями — блокирует комментарии с угрозами или обещаниями физической расправы. Фильтр по умолчанию отключён и срабатывает после ручного изменения настройки сообщества.
🙃 Как: в основе фильтра лежит обученная нейросеть, способная с 80%-й точностью оценивать контекст разговорной речи. Вместе с нейросетью работают алгоритмы, которые в фоновом режиме мониторят сообщество и мгновенно реагируют на нежелательные высказывания.
🙃 Зачем: чтобы уменьшить травлю в соцсетях и усложнить жизнь троллям.
❌ Проблема: фильтр появился только у половины администраторов соцсети. Остальным придётся подождать, пока разработчики закончат тестирование.
💪 Перспектива: разработчики планируют повысить точность нейросети и расширить её возможности — сделать так, чтобы она защищала от оскорблений на основе национальной принадлежности или по иным признакам нетерпимости.
👉 Подробности: https://vk.com/press/communities-hate-speech
🙃 Как: в основе фильтра лежит обученная нейросеть, способная с 80%-й точностью оценивать контекст разговорной речи. Вместе с нейросетью работают алгоритмы, которые в фоновом режиме мониторят сообщество и мгновенно реагируют на нежелательные высказывания.
🙃 Зачем: чтобы уменьшить травлю в соцсетях и усложнить жизнь троллям.
❌ Проблема: фильтр появился только у половины администраторов соцсети. Остальным придётся подождать, пока разработчики закончат тестирование.
💪 Перспектива: разработчики планируют повысить точность нейросети и расширить её возможности — сделать так, чтобы она защищала от оскорблений на основе национальной принадлежности или по иным признакам нетерпимости.
👉 Подробности: https://vk.com/press/communities-hate-speech
Forwarded from Журнал «Код»
This media is not supported in your browser
VIEW IN TELEGRAM
Нашли новый способ кражи денег с бесконтактных карт.
Хорошо, что это исследователи балуются, а не настоящие хакеры.
😱 Что случилось: нашли ещё один способ угонять деньги с бесконтактных кредитных карт в обход пин-кода. Летом прошлого года смогли хакнуть карты Visa. В этом году добрались до Maestro и Mastercard.
🙂 Но: информацию уже передали в Мастеркард.
👩💻 Кто: инженеры Швейцарской высшей технической школы Цюриха.
#новости_код
Хорошо, что это исследователи балуются, а не настоящие хакеры.
😱 Что случилось: нашли ещё один способ угонять деньги с бесконтактных кредитных карт в обход пин-кода. Летом прошлого года смогли хакнуть карты Visa. В этом году добрались до Maestro и Mastercard.
🙂 Но: информацию уже передали в Мастеркард.
👩💻 Кто: инженеры Швейцарской высшей технической школы Цюриха.
#новости_код
Forwarded from Aleksey
Программные патчи для автомобилей станут обязательными и регулярными
https://habr.com/ru/post/559054/?utm_source=habrahabr&utm_medium=rss&utm_campaign=559054
https://habr.com/ru/post/559054/?utm_source=habrahabr&utm_medium=rss&utm_campaign=559054
Хабр
Программные патчи для автомобилей станут обязательными и регулярными
Автомобиль Tesla Model 3 взломали с мультикоптера (для зрелищности), источник Автомобили Tesla по умолчанию подключаются к любой точке WiFi с идентификатором S...
Forwarded from Aleksey
Исследователи получили доступ к чужому Wi-Fi, взломав «умные» розетки
https://tproger.ru/news/issledovateli-poluchili-dostup-k-chuzhomu-wi-fi-vzlomav-umnye-rozetki/
https://tproger.ru/news/issledovateli-poluchili-dostup-k-chuzhomu-wi-fi-vzlomav-umnye-rozetki/
Tproger
Исследователи получили доступ к чужому Wi-Fi, взломав «умные» розетки
При этом виной всему использование небезопасного протокола HTTP при передаче данных и ненадёжных заводских паролей, установленных производителями.
Forwarded from Aleksey
Произошла крупнейшая в истории утечка паролей. Под ударом все пользователи интернета - CNews
https://www.cnews.ru/news/top/2021-06-08_proizoshla_krupnejshaya_v_istorii
https://www.cnews.ru/news/top/2021-06-08_proizoshla_krupnejshaya_v_istorii
CNews.ru
Произошла крупнейшая в истории утечка паролей. Под ударом все пользователи интернета - CNews
В свободном доступе в Интернете оказался файл с 8,2 млрд паролей. Это больше всего населения Земли и почти вдвое больше суммарного количества пользователей интернета. Вероятность взлома при помощи...
Бежим участвовать в летней школе CTF для прокачки своих скиллов по инфобезу:
https://ctfnews.ru/news/1740
https://ctfnews.ru/news/1740
Наберём человек 15 введу голосовалку по тематике канала:) чтоб и правда было полезно, а пока так 👽💫👽
Кто не любит читать,любит смотреть, нашла раритетные видео, делала видеоподкасты в PwC , по кибербезу естессно)
https://youtube.com/playlist?list=PLkYGN9S9a9RbI_KeDW5Q3pZolyMNDsmWr
Кому интересно мысли вслух от таких компаний как Тинькофф, GroupIB, Страховая компания по киберрискам и прочее, go!).
https://youtube.com/playlist?list=PLkYGN9S9a9RbI_KeDW5Q3pZolyMNDsmWr
Кому интересно мысли вслух от таких компаний как Тинькофф, GroupIB, Страховая компания по киберрискам и прочее, go!).
Forwarded from Журнал «Код»
😱 Что случилось: инженерный совет интернета IETF принял в качестве стандарта транспортный протокол связи QUIC, который был создан в качестве эксперимента в Google. В ближайшие годы QUIC может заменить TCP — один из основных протоколов передачи данных с 1974 года.
🤨 И что: для простых пользователей — ничего особенного, просто любимый сериал будет грузиться немного быстрее. Согласно исследованиям, QUIC ускоряет поиск на 8% на компьютерах и на 4% — на смартфонах.
🤨 И что: для простых пользователей — ничего особенного, просто любимый сериал будет грузиться немного быстрее. Согласно исследованиям, QUIC ускоряет поиск на 8% на компьютерах и на 4% — на смартфонах.
Кстати, всем советую по возможности бывать на внешних мероприятиях по кибербезу (подготовлю топ,выложу), а пока советую в записи посмотреть мероприятие,можем обсудить в комментариях,кстати):
https://securityday.kaspersky.ru/
https://securityday.kaspersky.ru/
Впереди лето, а значит.. можно успеть сходить на стажировку, например, Яндекс.
Основное направление для стажировки у Я.— это разработка и другие технические позиции: фронтенд, бэкенд, мобильная разработка, аналитика, машинное обучение, тестирование и информационная безопасность. По этим направлениям приходит большая часть стажёров.
Подробнее,как попасть и где выполнить тестовые задания:
https://thecode.media/yandex-start/
Основное направление для стажировки у Я.— это разработка и другие технические позиции: фронтенд, бэкенд, мобильная разработка, аналитика, машинное обучение, тестирование и информационная безопасность. По этим направлениям приходит большая часть стажёров.
Подробнее,как попасть и где выполнить тестовые задания:
https://thecode.media/yandex-start/
Журнал «Код» программирование без снобизма
Как устроена стажировка в Яндексе в 2025 году — журнал «Код»
Рассказываем, как устроена стажировка в Яндексе: как туда попасть, как устроен процесс и чем заняты стажёры. Если собираетесь туда — держите полный гайд по стажировке в Яндексе.
Недавно модное издательство Медуза выпустило новость.
"Американское подразделение бразильской компании JBS, являющейся крупнейшим производителем мяса в мире, заплатило атаковавшим его хакерам выкуп в размере 11 миллионов долларов".
Но скорее всего производитель мяса отмывал деньги, или были дыры в отчётности по тратам (что вероятнее).
А вы как считаете?
Давайте обсудим в комментариях.
https://meduza.io/news/2021/06/10/krupneyshiy-v-mire-proizvoditel-myasa-jbs-zaplatil-vymogatelyam-11-millionov-dollarov-v-kiberatake-podozrevali-hakerov-iz-rossii.
"Американское подразделение бразильской компании JBS, являющейся крупнейшим производителем мяса в мире, заплатило атаковавшим его хакерам выкуп в размере 11 миллионов долларов".
Но скорее всего производитель мяса отмывал деньги, или были дыры в отчётности по тратам (что вероятнее).
А вы как считаете?
Давайте обсудим в комментариях.
https://meduza.io/news/2021/06/10/krupneyshiy-v-mire-proizvoditel-myasa-jbs-zaplatil-vymogatelyam-11-millionov-dollarov-v-kiberatake-podozrevali-hakerov-iz-rossii.
Meduza
Крупнейший в мире производитель мяса JBS заплатил вымогателям 11 миллионов долларов. В кибератаке подозревали хакеров из России
Американское подразделение бразильской компании JBS, являющейся крупнейшим производителем мяса в мире, заплатило атаковавшим его хакерам выкуп в размере 11 миллионов долларов.
Что посмотреть на досуге?
Взломы сетей, высокотехнологичный шпионаж, армии роботов — об этом сняты десятки или даже сотни фильмов. Возможности кибератак сценаристы оценили в 80-х годах прошлого века, и с тех пор идей для кино, сериалов, документалок — меньше не становится.
Кража личных данных.
Фильм «Взлом» (2000 год) — об украденной информации, использованной для шантажа. Знаменитый хакер Кевин Митник (в исполнении Скита Уильриха) крадет у специалиста по информационной безопасности Цутому Симомуры уникальный вирус, «превращающий» любой компьютер в металлолом. Постепенно «Взлом» превращается в поединок двух хакеров.
Тему похищения личных данных у людей активно эксплуатировали в сериале «Черное зеркало». В третьем эпизоде третьего же сезона сериала (2016 год) рассказывается о взломе веб-камеры на ноутбуке подростка, его начинают шантажировать видео, снятым шантажистом. Как и всегда в «Черном зеркале», все оказывается совсем не тем, и черное — совсем не черным.
Кибербуллинг
Психологическое давление в сети — сравнительно новый вид агрессии. Но он стал наглядным примером обратной стороны технологического прогресса. «Кибер-террор» (2015 год) со звездой «Игры Престолов» Мэйси Уильямс в главной роли тоже построен на теме кражи личных данных. Но дальнейшая интернет-травля занимает в фильме куда более важное место. Героиня под угрозой публикации интимных фото делает то, к чему ее принуждает незнакомый хакер.
Продолжение по ссылке:
https://hightech-fm.turbopages.org/hightech.fm/s/2018/07/03/film
Делитесь,что смотрели из фильмов?
Взломы сетей, высокотехнологичный шпионаж, армии роботов — об этом сняты десятки или даже сотни фильмов. Возможности кибератак сценаристы оценили в 80-х годах прошлого века, и с тех пор идей для кино, сериалов, документалок — меньше не становится.
Кража личных данных.
Фильм «Взлом» (2000 год) — об украденной информации, использованной для шантажа. Знаменитый хакер Кевин Митник (в исполнении Скита Уильриха) крадет у специалиста по информационной безопасности Цутому Симомуры уникальный вирус, «превращающий» любой компьютер в металлолом. Постепенно «Взлом» превращается в поединок двух хакеров.
Тему похищения личных данных у людей активно эксплуатировали в сериале «Черное зеркало». В третьем эпизоде третьего же сезона сериала (2016 год) рассказывается о взломе веб-камеры на ноутбуке подростка, его начинают шантажировать видео, снятым шантажистом. Как и всегда в «Черном зеркале», все оказывается совсем не тем, и черное — совсем не черным.
Кибербуллинг
Психологическое давление в сети — сравнительно новый вид агрессии. Но он стал наглядным примером обратной стороны технологического прогресса. «Кибер-террор» (2015 год) со звездой «Игры Престолов» Мэйси Уильямс в главной роли тоже построен на теме кражи личных данных. Но дальнейшая интернет-травля занимает в фильме куда более важное место. Героиня под угрозой публикации интимных фото делает то, к чему ее принуждает незнакомый хакер.
Продолжение по ссылке:
https://hightech-fm.turbopages.org/hightech.fm/s/2018/07/03/film
Делитесь,что смотрели из фильмов?
Хайтек
20 фильмов о кибербезопасности, взломах и цифровых преступлениях
3 июля 2018 3 июля 2018 3 июля 2018. Взломы сетей, высокотехнологичный шпионаж, армии роботов — об этом сняты десятки или даже сотни фильмов. Возможности кибератак сценаристы оценили в 80-х годах прошлого века, и с тех пор идей для кино, сериалов, документалок…
Forwarded from Эксплойт
Воскресная подборка: сайты для бесплатного обучения программированию
Времена, когда знание языков программирования было уделом избранных или стоило огромных денег уже прошли. Сегодня вы можете научиться кодить онлайн и совершенно бесплатно.
Если вы хотите начать карьеру программиста или просто создавать проекты для развлечения, обратите внимание на эти бесплатные сайты и курсы, где можно научиться программировать:
Codecademy — читаете теорию и совершенствуйте свои навыки веб-программирования, выполняя задания в интерактивном редакторе кода.
Apple Developers — маст-хэв ресурс для всех, кто планирует создавать приложения под macOS и iOS.
freeCodeCamp — обучит вас всем основным аспектам веб-программирования от начальных понятий до сложных приёмов разработки.
PythonChallenge — не ищете легких путей? Попробуйте решить эту мистическую головоломку по программированию.
CodeCamp — и напоследок, наш классный канал с книгами, курсами и полезными сервисами для программистов и не только.
#подборка
Времена, когда знание языков программирования было уделом избранных или стоило огромных денег уже прошли. Сегодня вы можете научиться кодить онлайн и совершенно бесплатно.
Если вы хотите начать карьеру программиста или просто создавать проекты для развлечения, обратите внимание на эти бесплатные сайты и курсы, где можно научиться программировать:
Codecademy — читаете теорию и совершенствуйте свои навыки веб-программирования, выполняя задания в интерактивном редакторе кода.
Apple Developers — маст-хэв ресурс для всех, кто планирует создавать приложения под macOS и iOS.
freeCodeCamp — обучит вас всем основным аспектам веб-программирования от начальных понятий до сложных приёмов разработки.
PythonChallenge — не ищете легких путей? Попробуйте решить эту мистическую головоломку по программированию.
CodeCamp — и напоследок, наш классный канал с книгами, курсами и полезными сервисами для программистов и не только.
#подборка
Forwarded from Отдел К: IT-технологии, кибербезопасность
2 вируса, которые доведут до поломки не только компьютер, но и вашу психику
Существуют вирусы, которые могу нанести вред не только устройству, но и самому владельцу устройства (например, людям с эпилепсией). Их можно назвать хоррор-вирусы, обычно, они представляют собой что-то вроде хоррор-игры только на рабочем столе. Но некоторые из них могут нанести серьезный вред и самому компьютеру.
1. MrsMajor2.0.exe
После запуска .exe файла на рабочем столе появляется множество пустых файлов с демоническими иконками и именем «Humans Are Tasty». Включает хоррор звуки и меняет рабочего стола на черный фон. Затем, система перезагружается, и запускается графический интерфейс вируса в котором есть правила, следуя которым можно, при должном желании его отключить. Может существенно нанести вред устройству.
2. TheEchoOfFear.exe
Меняет изображение рабочего стола на хоррор-изображение с элементами скримера, появляется таймер, по истечении которого удалит все файлы на жестком диске и повредит систему. Представляет серьезную угрозу.
Чтобы не пугать читателей канала без предупреждения, мы залили скриншоты этих вирусов сюда — telegra.ph/Skriny-horror-virusov-06-11
Существуют вирусы, которые могу нанести вред не только устройству, но и самому владельцу устройства (например, людям с эпилепсией). Их можно назвать хоррор-вирусы, обычно, они представляют собой что-то вроде хоррор-игры только на рабочем столе. Но некоторые из них могут нанести серьезный вред и самому компьютеру.
1. MrsMajor2.0.exe
После запуска .exe файла на рабочем столе появляется множество пустых файлов с демоническими иконками и именем «Humans Are Tasty». Включает хоррор звуки и меняет рабочего стола на черный фон. Затем, система перезагружается, и запускается графический интерфейс вируса в котором есть правила, следуя которым можно, при должном желании его отключить. Может существенно нанести вред устройству.
2. TheEchoOfFear.exe
Меняет изображение рабочего стола на хоррор-изображение с элементами скримера, появляется таймер, по истечении которого удалит все файлы на жестком диске и повредит систему. Представляет серьезную угрозу.
Чтобы не пугать читателей канала без предупреждения, мы залили скриншоты этих вирусов сюда — telegra.ph/Skriny-horror-virusov-06-11